製品・ソフトウェアに関する情報

JVN脆弱性詳細

PEAR の Mail パッケージにおける任意のファイルを読まれる脆弱性

タイトル	PEAR の Mail パッケージにおける任意のファイルを読まれる脆弱性
概要	PEAR の Mail パッケージの Mail::Send メソッド (Mail/sendmail.php) の sendmail の実装は、引数の挿入により、任意のファイルを読まれる、および書き込まれる脆弱性が存在します。本脆弱性は、CVE-2009-4111 とは異なる脆弱性です。
想定される影響	第三者により、巧妙に細工された $from パラメータを介して、任意のファイルを読まれる、および書き込まれる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年5月7日0:00
登録日	2012年9月25日17:38
最終更新日	2012年9月25日17:38

CVSS2.0 : 危険
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

PEAR

PEAR 1.1.14

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4023	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4023
National Vulnerability Database (NVD)
2	CVE-2009-4023	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4023

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	名前	URL
PEAR
1	16200	http://pear.php.net/bugs/bug.php?id=16200

変更履歴

No	変更内容	変更日
0	[2012年09月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-4023

概要	Argument injection vulnerability in the sendmail implementation of the Mail::Send method (Mail/sendmail.php) in the Mail package 1.1.14 for PEAR allows remote attackers to read and write arbitrary files via a crafted $from parameter, a different vector than CVE-2009-4111.
概要	Vulnerabilidad de inyección de argumento en la implementación sendmail del método Mail::Send (Mail/sendmail.php) en el paquete Mail v1.1.14 para for PEAR, permite a atacantes remotos leer y escribir ficheros de su elección a través de un parámetro $from, es un vector distinto a CVE_2009-4111.
公表日	2009年11月29日22:07
登録日	2021年1月29日13:25
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:pear:pear:1.1.14:::::::*

関連情報、対策とツール

No	URL	refsource
1	http://lists.opensuse.org/opensuse-security-announce/2010-11/msg00001.html	secalert@redhat.com
2	http://pear.php.net/bugs/bug.php?id=16200	secalert@redhat.com
3	http://pear.php.net/bugs/bug.php?id=16200&edit=12&patch=quick-fix&revision=1241757412	secalert@redhat.com
4	http://secunia.com/advisories/37410	secalert@redhat.com
5	http://secunia.com/advisories/37458	secalert@redhat.com
6	http://svn.php.net/viewvc/pear/packages/Mail/trunk/Mail/sendmail.php?r1=243717&r2=280134	secalert@redhat.com
7	http://www.debian.org/security/2009/dsa-1938	secalert@redhat.com
8	http://www.openwall.com/lists/oss-security/2009/11/23/8	secalert@redhat.com
9	http://www.securityfocus.com/bid/37081	secalert@redhat.com
10	http://www.vupen.com/english/advisories/2009/3300	secalert@redhat.com
11	https://bugs.gentoo.org/show_bug.cgi?id=294256	secalert@redhat.com
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/54362	secalert@redhat.com
13	http://lists.opensuse.org/opensuse-security-announce/2010-11/msg00001.html	af854a3a-2127-422b-91ae-364da2661108
14	http://pear.php.net/bugs/bug.php?id=16200	af854a3a-2127-422b-91ae-364da2661108
15	http://pear.php.net/bugs/bug.php?id=16200&edit=12&patch=quick-fix&revision=1241757412	af854a3a-2127-422b-91ae-364da2661108
16	http://secunia.com/advisories/37410	af854a3a-2127-422b-91ae-364da2661108
17	http://secunia.com/advisories/37458	af854a3a-2127-422b-91ae-364da2661108
18	http://svn.php.net/viewvc/pear/packages/Mail/trunk/Mail/sendmail.php?r1=243717&r2=280134	af854a3a-2127-422b-91ae-364da2661108
19	http://www.debian.org/security/2009/dsa-1938	af854a3a-2127-422b-91ae-364da2661108
20	http://www.openwall.com/lists/oss-security/2009/11/23/8	af854a3a-2127-422b-91ae-364da2661108
21	http://www.securityfocus.com/bid/37081	af854a3a-2127-422b-91ae-364da2661108
22	http://www.vupen.com/english/advisories/2009/3300	af854a3a-2127-422b-91ae-364da2661108
23	https://bugs.gentoo.org/show_bug.cgi?id=294256	af854a3a-2127-422b-91ae-364da2661108
24	https://exchange.xforce.ibmcloud.com/vulnerabilities/54362	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html